JWT 载荷及结合缓存的使用建议

1. 先说结论

在 JWT 中携带用户角色信息是一个常见的做法，将用户角色（如 role 字段）直接嵌入 JWT 中，可以让服务器在无需查询数据库的情况下验证用户权限，从而提高效率。

另一种方式是在 JWT 中仅包含用户的基本身份信息（如用户 ID），然后每次请求时通过数据库或缓存来查找具体的角色和权限信息。

不过建议采用折中的做法：将用户的基础角色（如普通用户、管理员等）放入 JWT，但对于更细粒度的权限，可以通过数据库或缓存实时获取。例如，JWT 中只包含 “普通用户” 或 “管理员” 这样的基础角色信息，而具体的访问控制则通过缓存来查找权限清单。

2. 在 JWT 中携带角色信息

2.1. 优点

• 减少数据库/缓存查询负担：在 JWT 中直接包含用户角色信息可以避免频繁的数据库或缓存查询，提高系统性能。

• 适合无状态认证：在分布式或微服务架构中，JWT 是自包含的，将角色信息放入 JWT，可以让多个服务在不共享状态的情况下都能解码并使用该信息。

• 提高响应速度：由于减少了数据库查询，响应速度可以得到显著提升，尤其是在高并发场景下。

2.2. 缺点

• 安全性风险：JWT 的载荷部分是经过 Base64 编码的，虽然签名可以防止数据被篡改，但角色信息本身是可读的。如果攻击者窃取了 JWT，可能会获取用户角色信息，从而利用该信息发动攻击。

• 角色权限变化有延时：因为 JWT 通常有较长的有效期（例如几小时或一天），一旦用户的角色或权限被更改，在 JWT 失效之前这些更改无法立即生效。比如，如果管理员立即撤销某个用户的权限，之前颁发的 JWT 可能仍然允许用户访问受限资源。

3. 结合缓存或数据库来进一步获取用户权限

3.1. 优点

• 提升安全性：即使 JWT 被盗，单凭用户 ID 无法直接获取权限信息。权限信息只保存在服务端数据库或缓存中，可以减少角色泄露的风险。

• 时效性高：可以实时获取用户的角色和权限信息，确保权限变更能立即生效。管理员撤销权限或赋予新权限后，系统可以马上反映这一变动。

3.2. 缺点

• 增加数据库/缓存查询负担：每次验证请求时都需要查询数据库或缓存，这会带来一定的性能开销，尤其是在高并发请求中。

• 不完全无状态：这种方式使得系统必须依赖数据库或缓存，增加了复杂性，特别是在分布式系统或微服务架构中，可能需要实现共享缓存或统一数据库查询。